JP2007510947A - 多数当事者の効率的な乗算のための方法及び装置 - Google Patents

多数当事者の効率的な乗算のための方法及び装置 Download PDF

Info

Publication number
JP2007510947A
JP2007510947A JP2006537540A JP2006537540A JP2007510947A JP 2007510947 A JP2007510947 A JP 2007510947A JP 2006537540 A JP2006537540 A JP 2006537540A JP 2006537540 A JP2006537540 A JP 2006537540A JP 2007510947 A JP2007510947 A JP 2007510947A
Authority
JP
Japan
Prior art keywords
protocol
data
party
encrypted
multiplication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006537540A
Other languages
English (en)
Other versions
JP2007510947A5 (ja
Inventor
テー テュイルス,ピム
スフーンマーケルス,ベリィ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2007510947A publication Critical patent/JP2007510947A/ja
Publication of JP2007510947A5 publication Critical patent/JP2007510947A5/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/38Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation
    • G06F7/40Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation using contact-making devices, e.g. electromagnetic relay
    • G06F7/44Multiplying; Dividing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Electromagnetism (AREA)
  • Storage Device Security (AREA)
  • Complex Calculations (AREA)
  • Electrotherapy Devices (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Selective Calling Equipment (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明は、準同形の閾値暗号化システムに基づいたセキュアな多数当事者の計算のフレームワークにおいて、標準的な準同形の閾値ElGamal暗号化を使用したシンプルかつ効率的なやり方で実現されるプロトコル及び特別なタイプの乗算ゲートを導入する。加算ゲートは本質的にフリーであり、条件付きゲートは、如何なる関数の回路を構築するだけでなく、広い範囲のタスクの効率的な回路を実際に得るのを可能にする。

Description

本発明は、多数当事者間でのセキュアな多数当事者用の乗算プロトコルに当事者が参加するための方法、かかる方法を実現するために構成される装置、及びかかる方法をプログラマブル装置に実行させるためのコンピュータ実行可能な命令を有するコンピュータプログラムプロダクトに関する。
セキュアな多数当事者の計算は、多数の当事者が暗号化されていな出力を得るための関数fを計算するプロセスである。計算の間、出力のみが当事者にとって利用可能となる。
これらの種類の計算の公知の例は、オークション、ミリオネイア・プロブレム、セキュアファンクションエバリュエーション、ボーティング、合理的かつセキュアなプロファイルマッチングにより暗号化計算である。
準同形の閾値暗号化システム(Homomorphic Threshold Cryptosystems)は、セキュアな多数当事者の計算の基礎を与える。所与のn項関数について、その入力配線での所与のx1,…,xnの暗号化がその出力配線でf(x1,…,xn)を生成するエレメンタリゲートの回路が構成される。エレメンタリゲートは、同じ方式で動作する。全体の回路の配線は、同じ公開鍵の下で全て暗号化され、対応する秘密鍵は、当事者のグループの間で共有される。
エレメンタリゲートは、ビットで動作するか、又はより大きなドメインのエレメントで動作し、この場合、明らかに後者のタイプが効率の観点から好まれる。
暗号化の下での計算のためのツールボックにおけるベーシックツールは、セキュアな乗算プロトコルである。また、更なるゲートは、如何なる値を復号することなしに評価することができるが、暗号化システム、乗算ゲートの準同形な特性を完全に利用することは、成功するのに少なくとも1つの閾値復号(threshold decryption)を必要とする。
米国特許第6,772,339号では、セキュアな多数当事者の計算の方法が記載されており、計算されるべき関数に基づいて、第一のデータと第二のデータの対を含むデータセットを発生するステップ、第一のデータと第二のデーらからなるそれぞれの対について、第一のデータと第二のデータを暗号化するステップ、暗号化された第一のデータと第二のデータからなる対を混合するステップ、暗号化された入力データを前記暗号化された入力データと比較して、整合を検出するステップ、及び前記検出された整合に対応する暗号化された第二のデータを選択するステップを含んでいる。
乗算ゲートを評価するために結果的に得られるプロトコルは、そのコンセプトの簡単さにも拘らず、非常に非効率的である。
したがって、本発明の目的は、多数当事者の計算のための効率的なビルディングブロック、特に乗算プロトコルを提供する方法及び装置を提供することにある。
本発明の目的は、参加者間でのセキュアな多数当事者の乗算プロトコルに当事者が参加するための方法により達成され、かかるプロトコルは、秘密の第一のデータと暗号化された第二のデータとの積を計算するために構成され、プロトコルは、秘密の第一のデータ又は2値化ドメインからの第一のデータのいずれかである第一のデータを当事者が取得するステップ、暗号化された第二のデータを当事者が取得するステップ、第一のデータと第二のデータの積のランダムにされた暗号化を含む暗号化された出力データを当事者が計算するステップ、離散的な対数に基づく暗号化システムを使用するステップ、及び、暗号化された出力データが正しいことを示す証明(proof)を当事者が発生するステップを含むサブプロトコルを含む。
乗算プロトコルは、秘密又は暗号化された乗数x及び暗号化された乗数yを入力としてとり、積xyの暗号化を出力として多項式の時間(polynomial time)で生成する。プロトコルは、x、y及びxyに関する如何なる情報をリークしない。さらに、セキュリティのため、プロダクトが直接的に計算された公的に認証可能な証明をプロトコルが生成することが必要とされる。
本発明に係る方法によれば、所与の秘密又は暗号化された第一のデータ[[x]]=(a,b)=(gr,gxr)及び暗号化された第二のデータ[[y]]=(c,d)であり、この場合に当事者Pはr,xを知っており、離散的な対数に基づく暗号化システムの準同形な特性を使用して、s∈Rqとして、当事者Pはランダムにされた暗号化[[xy]]=(e,f)=(gs,hs)*[[y]]xを計算する。また、当事者Pは、出力が訂正されたこと示す証拠を発生し、これは、ウィットネスr;s;x∈Zqの情報を与えることを意味し、a=gr,b=gxr,e=gsx,f=hsxを満たす。
本方法は、アプリケーションを効率的に実現するのを可能にし、たとえば、本方法は、少なくとも2つのユーザが、幾つかの測定に従ってそれらが類似するか否か以外の情報を表すことなしに、それらの秘密データを比較するのを可能にする。
かかる離散的な対数に基づくソリューションの更なる利点は、閾値バージョンのための鍵の生成が比較的シンプルであることである。
更なる利点は、本方法が悪意のあるケースを扱うことに対処すること、2つの当事者のケースの公平性にも対処することである。
更なる利点は、本発明が、ピアユーザからなる大規模なグループの間でアドホックコンタクトについて特に良好に実行されることであり、この場合、それぞれのユーザが(全体のユーザ数とは独立に)制限された量のセットアップ情報のみを必要とすること、及び、2ユーザの間のプロトコルを実行するための分散された鍵生成のための時間を含む全体の実行時間も同様に制限される。
乗算プロトコルの方法は、乗数のうちの1つが秘密(private)、すなわち1つの当事者により知られていることを必要とする。この制約は、乗算プロトコルがDiffie−Hellman Assumptionの下で存在するのを可能にする。
本発明に係る有利な方法は、第一のデータが2値化領域からのランダムなデータであることを特徴とする。
本方法は、少なくとも2つのユーザが2つの数の積を得るのを可能にし、その一方は、2値化領域からのランダム数であり、結果が正しく計算された証明である。
本方法は、2つの暗号化された数の暗号化された積を計算するのを可能にするプロトコルを実現する。
条件付きゲート(conditional gate)として示される請求項2記載のプロトコルでは、乗数xは2分の(2値化)領域からである。この制限は、乗算プロトコルが、Diffie−Hellman Assumptionの下で存在するのを可能にする。ビットで動作するエレメンタリゲートが乗算を含む多数当事者の計算を効率的に実現するのに十分であることを発明者により実現される。
請求項2記載のプロトコルは、xが2値化領域に制限される場合に、暗号化された値x及びyを効率的に乗算するのが可能である。
本発明に係る有利な方法は、離散的な対数に基づく暗号化がElGamal暗号化システムであることを特徴とする。
基本的に準同形のElGamalは広い範囲の問題を有効に扱うのに十分であることを発明者により理解される。第二のデータの暗号化は、準同形のElGamal暗号化であり、この場合、これらの暗号化がランダム化され、これらの暗号化のための公開鍵は常に同じであることが理解される。対応する秘密鍵は、多数の当事者間で共有される。
現在の方法は、まさに準同形な閾値のElGamal暗号化を使用して、たとえばPaillier暗号化システムのようなRSAのような暗号化システムの使用よりもコストが安い標準的なDecision Diffie−Hellman Assumptionの下で動作するという利点を有する。これは、対応する閾値暗号化システムの共有されるRSAモジュールの発生はコストがかかり、全体のアプリケーションのコストを支配する。たとえ2つの当事者のケースについてであっても、RSAモジュールを共有することは些細なタスクではない。対照的に、離散的な対数に基づく暗号化システムの分散された鍵生成はシンプルであって、実際に2当事者のケースではフリーである。
更なる利点として、ElGamalは、楕円曲線又はXTRのような離散的なログ設定に基づいたソリューションを可能にする。
条件付きゲートを評価するためのそれぞれの当事者の作業は、約12の指数演算(exponentiation)になる。上述された米国特許からのミックス・アンド・マッチのアプローチは、類似の乗算ゲートについて近似的に150の指数演算を必要とし、それぞれの当事者がゲートの暗号化された真のテーブルをなす4×3ElGamal暗号化をブラインド及び交換し、正しさの証明を提供する必要があるためであって、それぞれの当事者は、4つのプレインテキストの均一性テスト(plaintext-equality test)を平均して参加する。
本発明に係る方法は、したがって、セキュアなオークションのようなYao’のミリオネイア・プロブレム及び多くの他の問題について、今まで最も効率的なソリューションである。
本発明に係る有利な方法は、暗号化されたデータがペダーソンコミットメント(Pederson commitment)であることを特徴とする。
僅かな最適化は、乗算についてElGamal暗号[[x]]=(gr,gxr)の代わりに、ペダーソンコミットメント<<x>>=gxrを使用することで可能なことがある。
本発明に係る有利な方法は、プロトコルは、少なくとも1つの他の参加者に証明書を当事者が送信するステップを更に含むことを特徴とする。
本発明に係る有利な方法は、プロトコルが少なくとも1つの他の参加者に暗号化された出力データを当事者が送信する更なるステップを含む。
本発明に係る有利な方法は、プロトコルが2つの当事者間で実行されることを特徴とする。
本発明の目的は、請求項1に係る方法を実現するために構成される装置により達成される。
本発明の目的は、請求項1に係る方法をプログラマブル装置に実行させるコンピュータ実行可能な命令を有する、多数当事者の計算を可能にするための、コンピュータプログラムプロダクトにより更に達成される。
多数当事者の乗算プロトコルは、2以上の参加者により実行されるプロトコルである。
プロトコルの入力は、2つの(おそらく暗号化された)数、x及びyである。数xは、プレーヤP1により提供され、yはプレーヤP2により提供される。プロトコルの終わりで、両方のプレーヤは、結果として積[[xy]]を得る。さらに、当事者は、結果が正しく計算され、他のプレーヤが騙していなかったことの証明を得る。
はじめに、計算の幾つかの準備が説明される。
G=<g>は、プライムオーダ(prime order)qのDecision Diffie−Hellman(DDH)が実施不可能であると仮定される有限の巡回的な(乗数の)グループを示すとする。
公開鍵h∈Gについて、付加的に準同形のElGamal暗号化が使用され、メッセージm∈Zqは、r∈Zqとして対(a,b)=(gr,gmr)として暗号化される。準同形の特性は、mとm’の暗号化のコンポーネント毎の乗算がm+m’(法q):(a,b)*(a’,b’)=(aa’,bb’)=(gr+r’,gm+m’r+r’)の暗号を生じる。
暗号(a,b)=(gr,gmr)が共通の入力として与えられると、標準的な技術は、(固有の)ウィットネス(m,r)の情報を示す情報の証明を生じる(m∈Gによる形式(gr,mhr)の暗号化により標準的なElGamal暗号は、乗算の意味で準同形であるが、かかる情報の証明がない)。
等価な関係は、logg(a/a’)=logh(b/b’)である場合に暗号(a,b)と(a’,b’)が等価であることを示すことで、GxGで定義される。m∈Zqであるとして(1,gm)を使用することは、正式な表現として、等価な(1,gm)のクラスを示すために使用される。言い換えれば、[[m]]は、(公開鍵hの下で)mの全てのElGamal暗号のセットを示す。ダイレクトプロダクトグループGxGでの演算は、通常のやり方で等価なクラスにリフトされる。準同形の特性は、[[x]]*[[y]]=[[x+y]]及び[[x]]C=[[cx]]を含む。
したがって、スケーラによる加算及び乗算は、容易に達成される。これらの演算は、決定的な方式で実現されたときに容易に確認することができる。
ElGamal暗号のランダム化(又はブラインド)は、重要なプリミティブでもある。これは、所与の暗号をランダムなエレメント(a,b)∈R[[0]]と乗算することになる。logga=loghbを提供することで、(a,b)が確かに0の暗号であることを示している。
秘密鍵α=logghが与えられると、b/aαを計算することで復号が実行され、これは、あるm∈Zqについてgmに等しい。gmからmを回復することは、一般に難しいとされており、したがってgmからmを発見することはm∈Mのときは何時でも実施可能であるように、十分に小さいサイズのセットM∈Zqに関してこの暗号化システムを見ることが必要である。本発明では、Mのサイズは、非常に小さく、|M|=2であることがある。
ElGamal暗号化システムは、DDH Assumptionの下で意味的にセキュアである。
ElGamalの(t,n)−閾値バージョンでは(1≦t≦n)、(先のような)共通の公開鍵hで暗号が計算され、n当事者間でジョイントプロトコルを使用して復号が行われ、それぞれの当事者は、秘密鍵α=logghの共有を所持する。少なくともtの当事者が参加する限り、復号が続いて行われ、t当事者よりも少ない当事者は、上手く復号することができない。当事者は、分散された鍵生成プロトコルを実行することで、それらの共有を取得する。
本発明は、2つの当事者の計算に特に関心があるので、更なる詳細は、(2,2)閾値スキームについて提供される。分散された鍵生成は、当事者P1,P2に、はじめに,i=1,2についてαii∈Zqであるコミットメントci=gα ir iをブロードキャストさせ、次いで、loggiの情報の証明と共に値riをブロードキャストさせることで達成され、この場合、i=1,2についてhi=ci/hr iである。結合公開鍵は、h=h12であり、秘密鍵α=α1+α2である。暗号(a,b)を復号するため、プレーヤPiは、logaiがloggiに等しい証明と共に、di=aα iを生成する。次いで、メッセージはb/(a12)から回復される。
明らかに、(2,2)閾値のElGamalはアドホックの使用を可能にする。鍵を生成する試みは、復号を実行する試みとほぼ同じである。
2つの準同形の暗号[[x]]、[[y]]が与えられると、準同形の暗号[[xy]]は、以下のステップを含むプロトコルにより計算することができる。
プレーヤPiは、ランダム値riを選択し、i=1,2についてriを知っている証明と共に、[[ri]]をプレーヤP3-iに送出する。
プレーヤは、[[x+r1+r1]]を復号する。
1=x+r2、x2=−r2とする。プレーヤPiは、i=1,2について証明と共に、[[xi]]、[[fi]]=xi[[b]]をプレーヤP3-iに送出する。
両方のプレーヤは、[[f1]]+[[f2]]=[[xy]]を計算する。
証明のいずかが失敗した場合、プロトコルは停止される。
最後の準備として、ペダーソンコミットメントが示される。g,h∈Gが与えられると、メッセージm∈Zqへのコミットメントは、r∈RQとして値c=gmrである。コミットメントは、m及びrを表すことで開かれる。パダーソンスキームは、logghを決定することができないという仮定の下で、無条件に秘匿し、かつ計算に関してブラインドである。コミットメントスキームは、付加的に準同形であり、<<m>>は、メッセージに対するコミットメントを示すために使用され、個の場合、ランダム性が抑圧される。
これらの準備に従い、関数fは、fが加算ゲートとシンプルな乗算ゲートのみからなるZqにわたる回路として表される場合、多数当事者の設定においてセキュアに評価することができる。加算ゲートは、暗号[[x]]及び[[y]]を入力として受け、[[x]]*[[y]]を出力として生成し、シンプルな乗算ゲートは、[[x]]を入力として受け、公的に知られた値c∈Zqについて、[[x]]c=[[cx]]を出力として生成する。いずれかの関数fを扱うことができるため、両方の入力が暗号化される更に一般的な乗算ゲートが必要とされる。
制約がx又はyに課される場合、[[x]]及び[[y]]を入力として受け、[[xy]]を出力として効果的に生成する乗算ゲートは、DH問題が実施不可能であるという仮定で存在することができない。したがって、幾つかの制約を乗数xに課して、特定の乗算ゲートが使用される。
本発明の第一の実施の形態では、本方法は、乗数xが秘密であることを必要とし、これは1つの当事者により知られていることを意味する。
本発明の第二の実施の形態では、本方法は、特定の乗算ゲートの使用を含む。このゲートは、条件付きゲートと呼ばれ、乗数xが2分の(2値化)領域からであることを必要とする。このプロトコルは、共有される2分の乗算器による乗算プロトコルと呼ばれる。このプロトコルは、一般性が低いが、既に知られているプロトコルよりも遥かに効率的である。
これらの制約にも拘らず、本発明にかかる方法は、非常に効率的な多数当事者のプロトコルを導く。
はじめに、本発明に係る第一の実施の形態では、乗数xが(共有される入力よりはむしろ)秘密の入力である場合に乗算プロトコルが提供される。すなわち、xの値は1つの当事者Pにより知られる。被乗数yに制約が課されない。秘密の乗数による乗算は、条件付きゲートのためのプロトコルにおけるサブプロトコルとして、多数の個別の他のプロトコルで生じる。
図1は、本発明の2つの異なる実施の形態を例示している。当事者P,100は、秘密の第一のデータ[[x]],101、暗号化された第二のデータ[[y]],102を取得し、正しさの証明を含む暗号化された出力データ[[xy]],103を計算する。取得するとは、異なる当事者から受けること、内部メモリから検索すること、又は内部で生成することのいずれかである。
暗号[[x]]=(a,b)=(gr,gxr)及び[[y]]=(c,d)が与えられると、この場合当事者Pはr、xを知っており、当事者Pは、準同形の特性を使用して、s∈Rqとして、それ自身のランダム化された暗号[[xy]]=(e,f)=(gS,hS)*[[y]]xを計算する。次いで、当事者Pは、現在の出力であることを示す証明と共に[[xy]]をブロードキャストし、これは,a=gr、b=gxr、e=gSx、f=hSxを満たす、ウィットネスr;s;x∈Zqの情報を確かめることを意味する。
後の使用のため、先のプロトコルは、シミュレートされる必要がある。シミュレータは、入力として[[x]]及び[[y]]、正しい出力暗号[[xy]]を取得するが、xを知らない。結果として、シミュレータは、シミュレートされた情報の証明を追加する必要がある。シミュレートされたトランスクリプトは、実際のトランスクリプトとは統計的に区別不可能である。
先にプロトコルのバリエーションを使用することが可能であって、秘密の乗数xは幾つかの乗数yiと同時に乗算される。さらに、乗数についてElGamal暗号[[x]]=(gr,gxr)の代わりに、ペダーソンコミットメント<<x>>=gxrを使用することで僅かな最適化が可能である。
本発明の第二の実施の形態では、条件付きゲートは、まさに標準的な準同形の閾値ElGamal暗号を使用した驚く程のシンプルかつ効率的なやり方で実現することができる特別なタイプの乗算ゲートとして使用される。加算ゲートは、本質的にフリーであり、条件付きゲートは、如何なる関数の回路を構築するのを可能にするだけでなく、広い範囲のタスクのための効率的な回路が実際に得られる。
二分のドメイン(dichotomous domain){−1,1}は、説明の目的で便利である。ドメイン{0,1}又は何れか他のドメイン{a,b},a≠bは、これらのドメインが線形変換により互いに変換することができるので、代わりに使用することができる。これらの変換を暗号化に適用することもできる。
条件付きゲートは、2つの異なるプロトコルに沿って例示される。条件付きゲートを実現するための第一のプロトコルでは、プロトコルは、プレーヤP1...,,PN,N≧2が暗号[[xy]]をセキュアに計算するのを可能にする。簡単さのため、プレーヤは、準同形の暗号化スキーム[[.]]の秘密鍵を共有することとされる。
プロトコルステージ1では,i=1..Nについて、プレーヤPiは[[xi-1]]を入力として取り、siR{−1,1}を選択する。プレーヤPiは、秘密の乗算器による乗算のためのプロトコルを使用して、暗号[[si]]及び[[sii-1]]、及び[[sii-1]]が正しいw.r.t.[[si]]及び[[xi-1]]である証明をブロードキャストする。xi=sii-1とする。
プロトコルステージ2では、プレーヤは[[xN]]を復号してxNを取得する。それぞれのプレーヤは、xN∈{−1,1}であることをチェックする。xN及び[[y]]が与えられると、暗号[[xNy]]は好適に計算される。z0=xNyとする。
プロトコルステージ3では、i=1..Nについて、プレーヤPiは、秘密の乗算器による乗算のためのプロトコルを使用して、[[zi-1]]を入力として受け、暗号[[sii-1]]、及び[[sii-1]]が正しいw.r.t.[[si]]及び[[zi-1]]である証明をブロードキャストする。zi=sii-1とする。
プロトコルの出力は、[[zN]]=[[xy]]である。プロトコルは、1つの閾値の復号のみを必要とする。xNR{−1,1}が保持される必要があるので、復号は準同形のElGamal暗号スキームについて実施可能である。プロトコルは、大まかに2Nのラウンドを必要とする。
Nの値は統計的に独立であるので、少なくともt=N/2の誠実なプレーヤがプロトコルを上手く完了することができる場合には、xNの値は、xに関する如何なる情報を表さない。
プロトコルは、任意にロバスにされる。プレーヤPiがプロトコルステージ2で失敗した場合、プロトコルの残りで単に廃棄される。ステージ2について、ジョイント復号ステップは、定義によりロバストである。xN∈{−1,1}が失敗したかをチェックする場合、プレーヤは、si∈{−1,1}である証明をブロードキャストする必要がある。正しい証明を提供できないプレーヤは使われなくなり、それらのsiの値が復号される。xNの値は、これに応じて調整される。同様に、ステージ2では、プレーヤPiがそのステップを完了できない場合、その値siは復号され、暗号[[sii-1]]は好適に計算される。
このプロトコルは、正しく、適切であってかつ計算上のzkである。
第二の実施の形態の第二のプロトコル実現では、二分のドメインは{−1,1}が使用されるが、異なるドメインがリニアマッピングを使用して代わりに使用される。
[[x]]、[[y]]は、x∈{−1,1}⊆Zq及びy∈Zqによる暗号化を示すとする。以下のプロトコルは、当事者P1..Pn,n>1が暗号[[xy]]を安全に計算するのを可能にする。簡単さのため、これらの当事者は、(t+1;n)−閾値スキーム[[.]]の秘密鍵を共有することとされ、ここでt<nである。プロトコルは2つのフェーズからなる。
プロトコルフェーズ1。x0=x及びy0=yとする。i=1..nについて、当事者Piは、[[xi-1]]及び[[yi-1]]を入力として受け、siR{−1,1}によるコミットメント<<si>>をブロードキャストする。その後、Piは、秘密の乗数の乗算プロトコルを乗数<<si>>及び被乗数[[xi-1]]及び[[yi-1]]に適用し、ランダムな暗号[[xi]]及び[[yi]]を得る。ここで、xi=sii-1であり、yi=sii-1である。Piがこのステップを上手く完了できない場合、即座に停止される。
プロトコルフェーズ2。当事者は、[[xn]]を復号してxnを得る。正しい共有の数が不十分であるために復号が失敗した場合、全体のプロトコルが中止される。
(外1)
Figure 2007510947
であるために復号が失敗した場合、それぞれの当事者Piはsi∈{−1,1}である証明をブロードキャストすることが必要とされる。そのようにできない当事者は停止され、(フェーズ1で再び開始して)プログラムは再始動される。xn及び[[yn]]が与えられると、暗号[[xnn]]が公的に計算される。全ての当事者が誠実である場合、xnn=xyである。
当事者は、レンジ{−1,1}の外から値siをとることでフェーズ1の多くとも1つのランについてプロトコルを分離する。t<n/2について、プロトコルはロバストであって、全体でtまでの失敗した当事者を許容することができる。n/2≦t<nについて、プロトコルはロバストではないが、このケースでは相手が利点を得ない。
プロトコルは、1つの閾値の復号のみを必要とする。xnは2値化が保持されるのが必要とされるので、復号は準同形ElGamal暗号スキームについて実施可能である。xnの値はxについて統計的に独立であるので、xnの値は、xに関する如何なる情報を表さない。
全体の当事者の数は、評価されるべき条件付きゲートの全体の数に比較して大きい場合、ロバスト性を保証する代替的なやり方は、フェーズ1で、当事者にコミットメント<<si>>の代わりに暗号[[si]]を使用させることである。さらに、フェーズ2で、
(外2)
Figure 2007510947
である場合、全ての当事者は、si∈{−1,1}を確かめることが必要とされる。失敗した当事者は廃棄され、それらのsiの値は、xnの値を訂正するために復号される。
プロトコルの性能は、計算上の複雑さ(ビット)及びラウンド(round)の複雑さにより決定される。フェーズ1では、それぞれの当事者は、約10の値をブロードキャストして、秘密の乗算器による乗算プロトコル(private-multiplier multiplication protocol)を適用する。復号について、それぞれの当事者は、多くとも3つの値をブロードキャストする。したがって、乗算の複雑さは、O(nk)であり、この場合に秘匿された定数は非常に小さい。一般に、ラウンドの複雑さはO(n)であり、これは高いが、2つの当事者の計算のケースではO(1)である。また、多くの条件付きゲートが並行に評価されることになるとき、当事者P1..Pnが条件付きゲートプロトコルのフェーズ1を実行する順序を任意に選択することができることを利用する場合がある。
条件付きゲートの第一の適用として、xor−準同形のElGamal暗号化スキームが示される。x,y∈{0,1}として[[x]]及び[[y]]が与えられると、
(外3)
Figure 2007510947
は、1つの閾値の復号を使用して以下のように計算される。
ステップ1:x’=2x−1∈{−1,1}により[[x]]から[[x’]]に公的に変換する。
ステップ2:条件付きゲートを[[x’]]及び[[y]]に適用して[[x’y]]を得る。
ステップ3:
(外4)
Figure 2007510947
に等しい[x−x’y]を公的に計算する。
条件付きゲートの印加は、閾値の復号を必要とし、これは、xor−準同形ElGamal暗号化を達成するために避けられないと考えられる。
当事者当たりの作業は、それぞれの条件付きゲートについて約13の指数演算に非常に制限される。対照的に、記載された米国特許に従うミックスアンドマッチアプローチは、それぞれの当事者が、(J. Grothによる“A verifiable secret shuffle of homomorphic encryptions, public key cryptography PKC’03, volume 2567 of Lecture Notes in Computer Science, page 145-160, Berlin, 2003, Springer-Verlag”の有効なプロトコルを使用して)確認できるやり方で
(外5)
Figure 2007510947
について真のテーブルの4行を混合するのを必要とし(ミックスステップ、エントリ、すなわち正しさの証明のための6×12の指数演算をブラインドするために24の指数演算を必要とする)、[[x]]及び[[y]]が与えられた
(外6)
Figure 2007510947
を発見するために平均4つのプレインテキストの均一性テストを実行する(マッチステップ、4×7の指数演算を必要とする)。したがって、条件付きゲートは、指数演算をカウントして近似的に10倍の改善を提供する。
条件付きゲートの第二の適用として、論理ゲートの実現が示される。
2ビットx及びyの演算子は、形式a0+a1x+a2y+a3xyの多項式として固有なやり方で表現することができる。係数は、必要なバイナリではない。たとえば、排他的論理和演算子
(外7)
Figure 2007510947
は、
(外8)
Figure 2007510947
=x+y―2xyを満たす。タイプ{0,1}2→{0,1}の正確な16の多項式が存在し、これは以下の多項式の形式b0xy+b1x(1−y)+b2(1−x)y+b3(1−x)(1−y)を考える場合に直接的であり、ここで係数はバイナリである。一般に、係数は、{−1,1}のような他の2値化されたドメインで機能する場合に整数である必要がない。
条件付きゲートの以下のアプリケーションでは、特別の乗算ゲートは、整数の比較及び二進で表現される数の加算のような基本演算のための効果的な回路を得るために適用される。
条件付きゲートの第三のアプリケーションとして、更に一般的な状況への拡張を可能にするYaoのミリオネイア・プロブレムの僅かな変形の効率的なソリューションが示される。このアプリケーションでは、それら二進表現、すなわちx=(xn-1,..,x0)及びy=(yn-1,..,y0)のそれぞれにより入力が与えられる。サイン関数を実現するZに対する多変量多項式Pが定義される。
幾つかの多項式は、この関数を実現するために使用することができる。最も有効なソリューションは、以下の多変量低減多項式に基づいて構築することができると考えられる。x,y∈{0,1}について、F(s,x,y)=s+(1−s2)(x−y)
多項式Fは、補助的な変数ν=1−s2を導入することで効率的に評価することができる。はじめに、s=0及びν=1である。次いで計算
s,ν=s+ν(x−y),ν−ν(x−y2
は、所望の結果を与える、x及びyの全てのコンポーネントについて繰り返される。秘密のやり方でこの計算を行うため、3つの基本的なステップが必要とされ、プレーヤは、そのx又はyを所与の準同形の暗号と乗算する。
プレーヤ1は、[[ν]]及び((x))から[[νx]]を計算する。
プレーヤ2は、それぞれの[[νx]]及び((y))の[[ν]]から[[νy]]及び[[νxy]]を計算する。
両プレーヤは、(新たなsである)[[s+νx−νy]]を計算する。
両プレーヤは、(新たなsである)[[ν−νx+2νxy−νy]]を計算する。
必要とされる場合、sは閾値の復号を使用して復号することができる。なお、このアルゴリズムは、それぞれのビットについて3つの「秘密の乗数による乗算」プロトコルを必要とする。アルゴリズムにおける第二のステップを効率的に実行することができる。このアプローチは、暗号化形式で結果を生成するためにSocialist Millionaires problemに適用することができる。
条件付きゲートの第四の適用として、2つの数の加算が示される。それら二進表現により与えられる2つの数x,yを加算するため、キャリーを考慮して、それぞれのビットが加算される。出力zの次のビットを生成するため、[[t]]=[[xi+yi+ci-1]]を計算することが必要であり、ここでci-1はキャリー値である。zi=t 法2、及びci
(外9)
Figure 2007510947
が保持される。計算は、zi=xi+yi+ci-1−2xii−2xii-1−2yii-1+4xiii-1、及びci=xii+xii-1+yii-1−2xiii-1である。x及びyの両者が秘密である場合、全てのこれらの項は、「シンプルな」乗算プロトコルを使用して計算することができる。4つのかかる乗算は、それぞれのビットについて必要とされる。したがって、O(n)は前対的にnラウンドを使用する。1つのみが秘密である場合、1つの二分の乗算が必要とされる。両者が共有される場合、二分の乗算が使用される。
同様に、2つの数x,yの乗算は、スクールメソッドにより達成される。これは、O(n2)ビットの乗算を必要とする。
条件付きゲートの第五の適用として、ハミング距離の計算が示される。Zqにおけるエントリにより2つのベクトルx及びyが与えられると、xとyとの間のハミング距離dH(x,y)は、
Figure 2007510947
 として定義され、ここでx=0の場合にδ(x)=0であり、
(外10)
Figure 2007510947
の場合にδ(x)=1である。このセクションの目的は、s及びyに関する更なる情報を与えることなしにxとyの間のハミング距離を安全に計算することである。更に正確には、2つのプレーヤP1及びP2が存在するものとされ、それぞれはベクトル、すなわちx及びyをそれぞれ有する。これらプレーヤは、2つの当事者のプロトコルを実行することで、dH(x,y)を計算するのを望む。ベクトルxのi番目のエントリは、xi∈Zqにより示される。エントリxiは、以下の表現を通してバイナリストリングとして表現することができる。
Figure 2007510947
 均一性テストは、変数hを使用して行われる。
プロトコルの終わりで、P1及びP2はhを復号する。このプロトコルにおける不変性は、
Figure 2007510947
 である。dH(x,y)を計算するため、先に定義されたプロトコルは、ベクトルx及びyの各エントリxi,yiについて実行される必要がある。エントリiの結果をhiで示す。次いで、以下のようになる。
Figure 2007510947
 その後、両プレーヤは、互いに[[dH(x,y)]]を復号する。
条件付きゲートの第六の適用として、ユークリッド距離の計算が示される。ハミング距離の計算との違いは、類似性の測定からなる。レングスnの2つのベクトルx及びyについて、ユークリッド距離dH(x,y)は、
Figure 2007510947
 として定義される。dH(x,y)を計算するため、プレーヤは、以下のステップを実行する。
プレーヤ1は、そのxiの情報から全てのi=1,..,nについて[[xi 2]]を計算する。同様に、プレーヤ2は、全てのi=1,..,nについて[[yi 2]]を計算する。
両プレーヤは、[[oi]]=[[xi 2−2xii+yi 2]]を計算する。したがって、プレーヤ1は、プレーヤ2に[[xi]]を送出し、プレーヤ2は、次いで、(プレーヤ2が正しいyi、すなわちyi 2の計算で使用されたのと同じyiを使用した証明と共に)[[2xii]]を計算する。次いで、[[xi 2−2xii+yi 2]]を計算する。
最後に、以下のような、暗号化スキームの準同形の特性を利用することで[[dH(x,y)]]を計算する。
Figure 2007510947
公平な閾値の復号を使用することで、結果が得られる。
さらに、この計算の閾値のバージョンが考慮され、すなわち一方(又は両方)のプレーヤがある閾値μについてデシジョンプロブレムdH(x,y)>μへの回答を得るケースが考慮される。その状況では、両方のプレーヤは、それらの入力の二進表現を使用する必要があり、二進表現で結果[[oi]]の値を計算する。次いで、先に説明されたのと同じ方法を使用することで、
(外11)
Figure 2007510947
の二進表現を計算する。次いで、暗号化された結果を得るため、ミリオネイアのプロトコルを実行する。最後に、公正な閾値暗号を使用して、両プレーヤにソリューションを与える。
条件付きゲートの第七の適用として、2つのベクトルを比較するための別の公知の類似性の測定が示され、正規化されたスカラー積は、以下のように定義される。
Figure 2007510947
 データx,yは秘密であるので、数1/‖x‖及び1/‖y‖はそれぞれのプレーヤにより秘密に計算することができる。総和
Figure 2007510947
 は、ElGamal暗号化スキームの準同形の特性を使用して計算することができる。準同形の特性を再度使用して、<xy>を得る。最後に、(公平な)閾値の復号を適用することで、及びP−A.Fouque,J.Stern,G−J.Wackers,“CryptoComputing with rationals”in Financial Cryptography,2001の技術を有理数に対処するためにElGamalのケースに拡張することで値が得られる。
関連するデシジョンプロブレムを解決するため、すなわち、良好に定義された閾値μについて、<x,y> >μであるかを判定するため、全ての計算が先に記載されたように二進表現で行われる必要がある。更に0≦μ≦1であるので、関連するデシジョンプロブレムを解くことが好ましい。
Figure 2007510947
 次いで、ミリオネイアのプロトコルが適用される必要がある。最後に、(公平な)閾値復号を適用することで結果が得られる。
本発明の広い適用性を例示するため、条件付きゲートの第八の適用であるセキュアなオークションが示される。
オークションは、2つのフェーズである、参加者がそれらの入札をオークション側に送出する入札フェーズ、オークション側は、最も高い価格及び勝者のアイデンティティを発する開札するフェーズからなる。
以下のモデルが仮定される。mの入札者P1,...,Pmが存在する。入札は、x1=(x1,n-1,...,x1,02,...,xm=(xm,n-1,...,xm,02により与えられる。表現は、この表記ではmsbからlsbまで順序付けされる。入札者は、サーバの結合公開鍵でそれらの入札を暗号化し、それらをオークション側[[xi]]=[[xi,n-1]],...,[[xi,1]]に送出する。kのサーバが存在する。最も高い価格のオークションのための方法が記載される。
最も高い入札者のアイデンティティを決定するアルゴリズムが提供される。このアルゴリズムは、最も高い入札、及び最も高い入札者のアイデンティティを決定するためにサーバにより使用される。したがって、入札i(msbから始まる)まで最も高い入札者のアイデンティティを見失わないように、n+1セレクションベクトルwi∈{0,1}m、i=−1,...,n−1のセットが定義される。アルゴリズムは、ベクトルwn-1で始まり、最も高い入札者のアイデンティティがベクトルw-1に含まれる。wiをwi-1に更新するダイナミクスを与えるため、第二のベクトルのセットti∈{0,1}m+1、i=0,...,n−1が定義される。ベクトルtiは、ベクトルxjjはゼロベクトルに等しいかをチェックする。ベクトルwi、tiのj番目のコンポーネントは、wj,i、tj,iにより示される。tベクトルの初期条件は、t0,j=0、j=0,...,n−1により与えられ、wベクトルは、wn-1=(1,...,1)により与えられる。多項式は、F(s,z)=s+(1−s)z及びGa(s,z)=s(z+(1−z)(1−a))により定義される。次いで、以下の更新ルールによりダイナミクスが定義される。tj,i=F(tj-1,i,xj,ij,i)、tm,i=F(...F(F(t0i,x1i1i),x2i2i)...)、及びwj,i-1=Gtm,i(wj,i,xj,i)、i=n−1,...,0についてi=n−1で開始し、それぞれiについて、カウンタjは1からmにランする。なお、tm,i=1は、ベクトルxjjの少なくとも1つのコンポーネントが1に等しいことを意味する。ベクトルw-1をセキュアに計算するため、サーバは、条件付きゲートに基づいて一般化されたミリオネイアプロトコルを使用する。
ベクトルw-1がセキュアに計算されたとき、サーバは、ベクトルw-1のエントリを復号するため、公平な閾値復号を使用する。勝利者となる入札者のアイデンティティは、1に等しいw-1のエントリの位置に対応する。この識別子を使用して、対応する最も高い入札を発見し、それを復号するために閾値復号を使用することができる。
このプロトコルは、上述されたJuels及びJakobssonにより規定されるのと同じ利点を満たし、特に、比較的計算的に高価なミックス計算を回避しつつ、非インタラクティブ性、オークションの適合性、フルプライバシー、ロバスト性、マルチプルサーバ及び公的な認証性を満足する。
このプロトコルは、Vickrey(セカンドプライス)オークションに拡張することができる。Vickreyオークションは、最も高い入札者が勝つものの、クリアリングプライスであり、すなわち勝者が支払うべき価格が二番目に高い入札に等しいオークションである。Vickreyオークションを実行するため、以下のアプローチが可能である。はじめに、サーバは、先に与えられたプロトコルにより、勝者のアイデンティティを決定する(勝者の入札ではない)。次いで、サーバは、リストから勝者及びそれらの入札をリストから除く。最後に、以下の多項式のセットを評価する。
j=F(...F(F(0,x1,j1,j),xm,jm,j))、j=n−1,...,0及びFは先に定義されたような関数である。ベクトルp=(pn-1,...,p0)は、最大の入札価格を含む。
最後に、秘密の乗算器による乗算プロトコルが示される。第一の適用は、一般化されたミリオネイア・プロブレムである。
ミリオネイア・プロブレムでは、それぞれの入力x及びyは、プレーヤに対して両方共に秘密である。多くの適用(たとえば、セキュアプロファイルマッチング)では、一方又は両方の入力が共有される。1つの入力、すなわちxが共有される場合、乗算は、アルゴリズムにおける数ステップで秘密の乗算器によるプロトコルと使用される。ミリオネイアアルゴリズムについて、2nの秘密の乗算プロトコル及びnの二分の乗算プロトコルになる。両方の入力が共有される場合、全てのステップで二分の乗算プロトコルを使用することが必要であり、二分の乗算プロトコルの3nの使用を与える。
一方の入力、すなわちxが共有され、他方の入力が既知の定数Tである場合、以下のプロトコルが可能である。yiをTj(j=0,...,n−1)で置き換え、暗号化スキームの準同形の特性を使用することで、{[[xj−Tj]]}(j=0..n−1)を計算する。このようにして、問題は、不等号x−T>0に変換される。次いで、(nの二分の乗算につながる)二分の乗算プロトコルで[[ν(xj−Tj)]]の計算のみが行われる必要がある。
第二の適用として、セキュアプロファイルマッチングが示される。
近年、電気的な形式での大量のコンテンツ(オーディオ、ビデオ、テキスト等)のユーザへの可用性は、情報の選択の方法の開発を呼んでいる。かかる方法は、最も一般的に、パーソナライゼーションの考えに基づいており、そのユーザの好みのプロファイルに従って所与のユーザについて情報が選択される。かかるシステムは、推薦システムとして一般に知られる。
コラボレイティブ・フィルタリング技術は、コンテンツの推薦が所与のユーザのプロファイルと他のユーザのプロファイルとの間の類似性に基づいた(コンテンツ自身の特徴ではない)推薦システムである。(ある前もって定義された基準に従って)2つのプロファイル間の類似性の速度が十分に高い場合、システムは、そのユーザにより未だ見られていない、他のユーザの高く評価されたコンテンツアイテムを1ユーザに推薦する。
ここでこの設定は、アドホックケースに拡張され、2ユーザは、それらのプロファイルを比較し、類似の趣向を有するかを見つける。類似の趣向を有する場合、互いにコンテンツをやり取りする手順を始める。有さない場合、プロトコルは、プロファイルが類似しないこと以外に、他のプライベート情報が漏洩していないことを保証する。
2つのプロファイルのプライベートの比較により、ユーザが前に合意したテスト機能を安全に計算することが意図される。第二のフェーズでは、この(暗号化された)値を閾値とセキュアに比較し、すなわち、プロトコルの終わりで、プレーヤが得た情報は、テスト機能の値が閾値を超えるか否かである。
参加者は、認証されたチャネル互いに有するとされる。明確さのため、この記述は、ユーザのプライベートプロファイルがx及びyとして示された二進ベクトルからケースに制限されるが、非二進ベクトルへの拡張も可能である。
2つのベクトルを比較するための第一の測定は、それらが異なるエントリの数により与えられる。この測定は、2つのベクトルx,y∈{0,1}nの間のハミング距離dH(x,y)の観点で定義することができ、この距離は、
Figure 2007510947
 により与えられ、x=0の場合にδ(x)=0であり、x≠0の場合にδ(x)=1である。考慮される第二の測定は、
Figure 2007510947
 のように定義されるスカラー積である。このセクションの目的は、dH(x,y)及びdSx,y)がどのように計算され、秘密のやり方でどのように閾値に比較されるかを示すことである。
H(x,y)の秘密の計算は、秘密の乗算器による乗算プロトコルを実行して、結果を復号するために閾値復号を使用することで実行することができる。dS(x,y)の秘密の計算も、秘密に乗算器による乗算プロトコル及びElGamalの暗号化システムの準同形の特性に基づいている。
更に関心のある状況は、一方又は両方のプレーヤにより選択された閾値μについて、デシジョンプロブレムdH(x,y)>μ又はdS(x,y)>μが秘密のやり方で解決されたときに生じる。μはその二進表現μn-1,...,μ0で与えられるものとする。次のプロトコルは、dH(x,y)のデシジョンプロブレムを解いて、dS(x,y)の状況は完全に類似しており、したがって詳細は省略される。
はじめに、プレーヤは、鍵生成プロトコルを使用して閾値のElGamalシステムをセットアップする。
それぞれのコンポーネントi=1,...,nについて、両方のプレーヤは、ミリオネイア・プロブレムのセクションのソシアリスト(socialist)プロトコルを使用するか、秘密の乗算器による乗算プロトコルを使用して[[oi]]=[[(xi−yi2]]を計算することで、セキュアに[[oi]]=[[δ(xi−yi)]]を計算する。
両方のプレーヤは、
Figure 2007510947
 のビット表現を秘密に計算する。
結果として、プレーヤは([[sn-1]],...,[[s0]])2
(外12)
Figure 2007510947
の二進表現。
プレーヤは、[[s]]≧[[μ]]であるかをチェックするため、[[s]]及び[[μ]]にミリオネイア・プロブレムを実行する。
最後に、両方のプレーヤは、デシジョンプロブレムの結果を復号するため、(公平な)閾値復号を適用する。
このプロトコルは、O(n・log n)の指数演算をプレーヤ当たり必要とする。
前のアプローチは、エントリが離散(bit not binary)領域に属するケースに拡張することができる。考えは同じであるが、計算が多くのステップ及び詳細を必要とする。そのケースにおいても、十分なプライバシーを保証できることが強調される。
図2は、本発明に係る方法を実現する装置及びコンピュータプログラムプロダクトを例示している。
装置200は、本発明に係る方法を実現するために構成されるメモリ201、処理手段202、入力手段203、及び出力手段204を有している。
コンピュータプログラムプロダクト210は、ロードされたときに、装置200におけるプログラマブル装置に本発明に係る方法を実現するために必要なステップを実行させる命令を実行する。
先に記載された実施の形態は、本発明を限定するよりはむしろ例示するものであり、当業者であれば、特許請求の範囲から逸脱することなしに多くの代替的な実施の形態を設計することができる。
請求項において、括弧の間に配置される参照符号は、請求項を制限するとして解釈されるべきではない。単語「有する“comprising”」は、請求項に列挙されたエレメント又はステップの存在を排除するものではない。エレメントに先行する単語“a”又は“or”は、複数のかかるエレメントの存在を排除するものではない。本発明は、幾つかの個別のエレメントを有するハードウェアにより、適切にプログラムされたコンピュータにより実現することができる。1つのプロセッサ又は他の(プログラマブル)ユニットは、請求項で引用される幾つかの手段の機能を達成する場合もある。
幾つかの手段を列挙している装置の請求項では、これら幾つかの手段は、同一のハードウェアにより実施することができる。所定の手段が相互に異なる従属の請求項で引用される単なる事実は、これらの手段の組む合わせを利用することができないことを示すものではない。
乗算プロトコルのサブプロトコルを例示する図である。 本発明に係る方法を実現するための装置を示す図である。

Claims (9)

  1. 当事者間のセキュアな多数当事者の乗算プロトコルに当事者が参加する方法であって、
    前記プロトコルは、秘密の第一のデータと暗号化された第二のデータの積を計算するために調整され、
    前記プロトコルは、
    秘密の第一のデータ又は2値化された領域からの第一のデータのいずれかである第一のデータを当事者が取得するステップと、
    暗号化された第二のデータを当事者が取得するステップと、
    離散的な対数に基づく暗号化システムを使用して、前記第一のデータと前記第二のデータとの積のランダム化された暗号を有する暗号化された出力データを当事者が計算するステップと、
    暗号化された出力データが正しいことを示すための証明を当事者が生成するステップと、
    を含むサブプロトコルを有することを特徴とする方法。
  2. 前記第一のデータは、2値化領域からのランダムなデータである、
    請求項1記載の方法。
  3. 前記離散的な対数ベースの暗号化システムはElGamal暗号化システムである、
    請求項1記載の方法。
  4. 前記暗号化されたデータはペダーソンコミットメントである、
    請求項1記載の方法。
  5. 前記プロトコルは、前記当事者が、他の参加者の少なくとも1つに前記証明を送信する更なるステップを含む、
    請求項1記載の方法。
  6. 前記プロトコルは、前記当事者が、他の参加者の少なくとも1つに前記暗号化された出力データを送信するステップを含む、
    請求項1記載の方法。
  7. 前記プロトコルは、2つの当事者間で実行される、
    請求項1記載の方法。
  8. 請求項1記載の方法を実現するために構成される装置。
  9. 請求項1記載の方法をプログラマブル装置に実行させるためのコンピュータ実行可能な命令を有する、多数当事者の計算を可能にするコンピュータプログラムプロダクト。
JP2006537540A 2003-11-03 2004-11-02 多数当事者の効率的な乗算のための方法及び装置 Withdrawn JP2007510947A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP03078437 2003-11-03
PCT/IB2004/052259 WO2005043808A1 (en) 2003-11-03 2004-11-02 Method and device for efficient multiparty multiplication

Publications (2)

Publication Number Publication Date
JP2007510947A true JP2007510947A (ja) 2007-04-26
JP2007510947A5 JP2007510947A5 (ja) 2007-12-20

Family

ID=34530747

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006537540A Withdrawn JP2007510947A (ja) 2003-11-03 2004-11-02 多数当事者の効率的な乗算のための方法及び装置

Country Status (8)

Country Link
US (1) US20070116283A1 (ja)
EP (1) EP1683298B1 (ja)
JP (1) JP2007510947A (ja)
KR (1) KR20070046778A (ja)
CN (1) CN1875569A (ja)
AT (1) ATE408940T1 (ja)
DE (1) DE602004016678D1 (ja)
WO (1) WO2005043808A1 (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006154033A (ja) * 2004-11-26 2006-06-15 Nippon Telegr & Teleph Corp <Ntt> 秘密計算方法及びシステム、並びにプログラム
JP2006203829A (ja) * 2005-01-24 2006-08-03 Nippon Telegr & Teleph Corp <Ntt> 秘密計算方法及びシステム、並びにプログラム
JP2006229929A (ja) * 2005-01-24 2006-08-31 Nippon Telegr & Teleph Corp <Ntt> 秘密計算方法及びシステム、並びにプログラム
JP2006227563A (ja) * 2005-01-24 2006-08-31 Nippon Telegr & Teleph Corp <Ntt> 秘密計算方法及びシステム、並びにプログラム
JP2010237653A (ja) * 2009-03-30 2010-10-21 Mitsubishi Electric Research Laboratories Inc 第1の信号と第2の信号との間の類似性を検証するための方法及びシステム
JP2020502856A (ja) * 2018-11-27 2020-01-23 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 情報保護のためのシステム及び方法
US10885735B2 (en) 2018-11-27 2021-01-05 Advanced New Technologies Co., Ltd. System and method for information protection
US10892888B2 (en) 2018-11-27 2021-01-12 Advanced New Technologies Co., Ltd. System and method for information protection
US10938549B2 (en) 2018-11-27 2021-03-02 Advanced New Technologies Co., Ltd. System and method for information protection
US11102184B2 (en) 2018-11-27 2021-08-24 Advanced New Technologies Co., Ltd. System and method for information protection
US11144918B2 (en) 2018-08-06 2021-10-12 Advanced New Technologies Co., Ltd. Method, apparatus and electronic device for blockchain transactions
US11218455B2 (en) 2018-11-27 2022-01-04 Advanced New Technologies Co., Ltd. System and method for information protection
WO2022162726A1 (ja) * 2021-01-26 2022-08-04 日本電気株式会社 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7392295B2 (en) 2004-02-19 2008-06-24 Microsoft Corporation Method and system for collecting information from computer systems based on a trusted relationship
CN101057448B (zh) * 2004-11-16 2012-02-15 皇家飞利浦电子股份有限公司 安全地计算相似性度量
DE102005030031B4 (de) * 2005-06-27 2007-08-02 Nec Europe Ltd. Verfahren zum Datenmanagement in einem Sensornetzwerk
US9077509B2 (en) 2005-12-13 2015-07-07 Koninklijke Philips N.V. Secure threshold decryption protocol computation
US7856100B2 (en) * 2005-12-19 2010-12-21 Microsoft Corporation Privacy-preserving data aggregation using homomorphic encryption
DE602006013399D1 (de) 2006-01-02 2010-05-20 Sap Ag System und Verfahren für den Vergleich von Privatwerten
JP4863807B2 (ja) * 2006-01-11 2012-01-25 日本放送協会 匿名課金システム、並びに、コンテンツ視聴装置、視聴料金集計装置、視聴料金復号装置及びコンテンツ配信装置
US7900817B2 (en) 2006-01-26 2011-03-08 Ricoh Company, Ltd. Techniques for introducing devices to device families with paper receipt
FR2906058B1 (fr) * 2006-09-14 2008-11-21 Eads Defence And Security Syst Procede et serveur de verification du contenu d'une urne virtuelle d'un systeme de vote electronique chiffre par un algorithme homomorphique
US7668852B2 (en) * 2006-10-31 2010-02-23 Hewlett-Packard Development Company, L.P. Method for creating sketches of sets to permit comparison
US7937270B2 (en) * 2007-01-16 2011-05-03 Mitsubishi Electric Research Laboratories, Inc. System and method for recognizing speech securely using a secure multi-party computation protocol
US8498415B2 (en) * 2007-11-27 2013-07-30 Bon K. Sy Method for preserving privacy of a reputation inquiry in a peer-to-peer communication environment
US8130947B2 (en) * 2008-07-16 2012-03-06 Sap Ag Privacy preserving social network analysis
US20100185861A1 (en) * 2009-01-19 2010-07-22 Microsoft Corporation Anonymous key issuing for attribute-based encryption
US20100329448A1 (en) * 2009-06-30 2010-12-30 Rane Shantanu D Method for Secure Evaluation of a Function Applied to Encrypted Signals
US8972742B2 (en) 2009-09-04 2015-03-03 Gradiant System for secure image recognition
US8433925B2 (en) * 2009-09-04 2013-04-30 Gradiant Cryptographic system for performing secure computations and signal processing directly on encrypted data in untrusted environments
US8843762B2 (en) * 2009-09-04 2014-09-23 Gradiant, Centro Tecnolóxico de Telecomunicacións de Galicia Cryptographic system for performing secure iterative computations and signal processing directly on encrypted data in untrusted environments
US8565435B2 (en) * 2010-08-16 2013-10-22 International Business Machines Corporation Efficient implementation of fully homomorphic encryption
US8681973B2 (en) * 2010-09-15 2014-03-25 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for performing homomorphic encryption and decryption on individual operations
US8837715B2 (en) 2011-02-17 2014-09-16 Gradiant, Centro Tecnolóxico de Telecomunicacións de Galica Method and apparatus for secure iterative processing and adaptive filtering
US9281941B2 (en) 2012-02-17 2016-03-08 International Business Machines Corporation Homomorphic evaluation including key switching, modulus switching, and dynamic noise management
EP2915279B1 (en) * 2012-10-30 2019-05-01 Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO Method and system for protected exchange of data
WO2014177581A1 (en) 2013-04-30 2014-11-06 Thomson Licensing Threshold encryption using homomorphic signatures
JP2016517069A (ja) * 2013-08-09 2016-06-09 トムソン ライセンシングThomson Licensing 行列因数分解に基づいたユーザに寄与する評点に対するプライバシー保護推薦のための方法およびシステム
US9390292B2 (en) * 2013-12-30 2016-07-12 Wisconsin Alumni Research Foundation Encrypted digital circuit description allowing circuit simulation
US9264407B2 (en) * 2014-04-03 2016-02-16 Palo Alto Research Center Incorporated Computer-implemented system and method for establishing distributed secret shares in a private data aggregation scheme
EP2930877A1 (en) * 2014-04-11 2015-10-14 Thomson Licensing Paillier-based blind decryption methods and devices
SG11201608601TA (en) * 2014-04-23 2016-11-29 Agency Science Tech & Res Method and system for generating / decrypting ciphertext, and method and system for searching ciphertexts in a database
US10396984B2 (en) 2014-05-02 2019-08-27 Barclays Services Limited Apparatus and system having multi-party cryptographic authentication
US9787647B2 (en) * 2014-12-02 2017-10-10 Microsoft Technology Licensing, Llc Secure computer evaluation of decision trees
US9825758B2 (en) * 2014-12-02 2017-11-21 Microsoft Technology Licensing, Llc Secure computer evaluation of k-nearest neighbor models
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
CN106160995B (zh) * 2015-04-21 2019-04-16 郑珂威 基于系数映射变换的多项式完全同态加密方法及***
FR3047373B1 (fr) * 2016-01-28 2018-01-05 Morpho Procede de calcul securise multipartite protege contre une partie malveillante
US9960910B2 (en) 2016-02-25 2018-05-01 Wisconsin Alumni Research Foundation Encrypted digital circuit description allowing signal delay simulation
US10812252B2 (en) 2017-01-09 2020-10-20 Microsoft Technology Licensing, Llc String matching in encrypted data
EP4167213B1 (en) * 2017-01-18 2024-03-13 Nippon Telegraph And Telephone Corporation Secret computation method, secret computation system, secret computation apparatus, and program
US11196539B2 (en) 2017-06-22 2021-12-07 Microsoft Technology Licensing, Llc Multiplication operations on homomorphic encrypted data
US10541805B2 (en) * 2017-06-26 2020-01-21 Microsoft Technology Licensing, Llc Variable relinearization in homomorphic encryption
US10749665B2 (en) 2017-06-29 2020-08-18 Microsoft Technology Licensing, Llc High-precision rational number arithmetic in homomorphic encryption
WO2019025415A1 (en) * 2017-07-31 2019-02-07 Koninklijke Philips N.V. DISTRIBUTION OF A CALCULATION OUTPUT
CN111512589B (zh) * 2017-12-14 2023-11-07 罗伯特·博世有限公司 用于利用spdz的快速安全多方内积的方法
FR3076152B1 (fr) * 2017-12-21 2020-01-10 Orange Validation de donnees personnelles d'un utilisateur
EP3503458A1 (en) 2017-12-22 2019-06-26 Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO Distributed computation method and system
CN108933650B (zh) 2018-06-28 2020-02-14 阿里巴巴集团控股有限公司 数据加解密的方法及装置
CN108809623B (zh) * 2018-07-10 2020-09-25 矩阵元技术(深圳)有限公司 安全多方计算方法、装置及***
EP3665583A1 (en) * 2018-10-17 2020-06-17 Alibaba Group Holding Limited Secret sharing with no trusted initializer
US10885205B2 (en) * 2018-10-31 2021-01-05 Nec Corporation Of America Secure multiparty computation
CN109446828B (zh) * 2018-11-07 2020-10-13 北京邮电大学 一种安全多方计算方法及装置
US11218290B2 (en) * 2019-02-28 2022-01-04 Sap Se Efficient cloud-based secure computation of the median using homomorphic encryption
CN109934691B (zh) * 2019-02-28 2023-08-25 矩阵元技术(深圳)有限公司 一种竞拍的数据处理方法、竞拍客户端及***
CN111046409B (zh) * 2019-12-16 2021-04-13 支付宝(杭州)信息技术有限公司 一种私有数据多方安全计算方法和***
CN111143894B (zh) * 2019-12-24 2022-01-28 支付宝(杭州)信息技术有限公司 一种提升安全多方计算效率的方法及***
US11038683B1 (en) 2020-01-24 2021-06-15 Via Science, Inc. Secure data processing
CN111461858B (zh) * 2020-03-10 2023-02-17 支付宝(杭州)信息技术有限公司 基于隐私保护的连乘计算方法、装置、***和电子设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001020562A2 (en) * 1999-03-25 2001-03-22 Votehere, Inc. Multiway election method and apparatus
US6772339B1 (en) * 2000-03-13 2004-08-03 Lucent Technologies Inc. Mix and match: a new approach to secure multiparty computation
AU2003252817A1 (en) * 2002-03-13 2003-09-22 Koninklijke Philips Electronics N.V. Polynomial-based multi-user key generation and authentication method and system

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4565628B2 (ja) * 2004-11-26 2010-10-20 日本電信電話株式会社 秘密計算方法及びシステム、並びにプログラム
JP2006154033A (ja) * 2004-11-26 2006-06-15 Nippon Telegr & Teleph Corp <Ntt> 秘密計算方法及びシステム、並びにプログラム
JP2006203829A (ja) * 2005-01-24 2006-08-03 Nippon Telegr & Teleph Corp <Ntt> 秘密計算方法及びシステム、並びにプログラム
JP2006229929A (ja) * 2005-01-24 2006-08-31 Nippon Telegr & Teleph Corp <Ntt> 秘密計算方法及びシステム、並びにプログラム
JP2006227563A (ja) * 2005-01-24 2006-08-31 Nippon Telegr & Teleph Corp <Ntt> 秘密計算方法及びシステム、並びにプログラム
JP4565632B2 (ja) * 2005-01-24 2010-10-20 日本電信電話株式会社 秘密計算方法及びシステム、並びにプログラム
JP4650933B2 (ja) * 2005-01-24 2011-03-16 日本電信電話株式会社 秘密計算方法及びシステム
JP4748663B2 (ja) * 2005-01-24 2011-08-17 日本電信電話株式会社 秘密計算方法及びシステム、並びにプログラム
JP2010237653A (ja) * 2009-03-30 2010-10-21 Mitsubishi Electric Research Laboratories Inc 第1の信号と第2の信号との間の類似性を検証するための方法及びシステム
US11144918B2 (en) 2018-08-06 2021-10-12 Advanced New Technologies Co., Ltd. Method, apparatus and electronic device for blockchain transactions
US11295303B2 (en) 2018-08-06 2022-04-05 Advanced New Technologies Co., Ltd. Method, apparatus and electronic device for blockchain transactions
US10885735B2 (en) 2018-11-27 2021-01-05 Advanced New Technologies Co., Ltd. System and method for information protection
US10909795B2 (en) 2018-11-27 2021-02-02 Advanced New Technologies Co., Ltd. System and method for information protection
US10938549B2 (en) 2018-11-27 2021-03-02 Advanced New Technologies Co., Ltd. System and method for information protection
US11080694B2 (en) 2018-11-27 2021-08-03 Advanced New Technologies Co., Ltd. System and method for information protection
US11102184B2 (en) 2018-11-27 2021-08-24 Advanced New Technologies Co., Ltd. System and method for information protection
US11127002B2 (en) 2018-11-27 2021-09-21 Advanced New Technologies Co., Ltd. System and method for information protection
US10892888B2 (en) 2018-11-27 2021-01-12 Advanced New Technologies Co., Ltd. System and method for information protection
US11218455B2 (en) 2018-11-27 2022-01-04 Advanced New Technologies Co., Ltd. System and method for information protection
US11277389B2 (en) 2018-11-27 2022-03-15 Advanced New Technologies Co., Ltd. System and method for information protection
US11282325B2 (en) 2018-11-27 2022-03-22 Advanced New Technologies Co., Ltd. System and method for information protection
JP2020502856A (ja) * 2018-11-27 2020-01-23 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 情報保護のためのシステム及び方法
WO2022162726A1 (ja) * 2021-01-26 2022-08-04 日本電気株式会社 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム

Also Published As

Publication number Publication date
KR20070046778A (ko) 2007-05-03
DE602004016678D1 (de) 2008-10-30
ATE408940T1 (de) 2008-10-15
CN1875569A (zh) 2006-12-06
EP1683298A1 (en) 2006-07-26
WO2005043808A1 (en) 2005-05-12
EP1683298B1 (en) 2008-09-17
US20070116283A1 (en) 2007-05-24

Similar Documents

Publication Publication Date Title
EP1683298B1 (en) Method and device for efficient multiparty multiplication
Chase et al. Security of homomorphic encryption
Kolesnikov et al. Improved garbled circuit building blocks and applications to auctions and computing minima
CN111130804B (zh) 一种基于sm2算法的协同签名方法及装置、***、介质
EP2742644B1 (en) Encryption and decryption method
Tsai et al. An ECC‐based blind signcryption scheme for multiple digital documents
CN118160275A (zh) 阈值签名方案
Chen et al. A study of the applicability of ideal lattice-based fully homomorphic encryption scheme to ethereum blockchain
Loe et al. TIDE: a novel approach to constructing timed-release encryption
JP2003076269A (ja) 非対称暗号通信方法、および関連の携帯物体
Ugwuoke et al. Secure fixed-point division for homomorphically encrypted operands
Choi et al. Design and implementation of constant-round dynamic group key exchange from RLWE
CN118160273A (zh) 生成共享密钥
Wong et al. Secure Multiparty Computation of Threshold Signatures Made More Efficient
Mujeerulla et al. Demerits of Elliptic Curve Cryptosystem with Bitcoin Curves Using Lenstra–Lenstra–Lovasz (LLL) Lattice Basis Reduction
CN114337994A (zh) 数据处理方法、装置及***
Wüller et al. Privacy-preserving two-party bartering secure against active adversaries
JP4502817B2 (ja) 楕円曲線スカラー倍計算方法および装置
Sasikaladevi et al. SNAP-compressive lossless sensitive image authentication and protection scheme based on Genus-2 hyper elliptic curve
Peng et al. Efficient bid validity check in elgamal-based sealed-bid e-auction
Faraoun A novel verifiable and unconditionally secure (m, t, n)-threshold multi-secret sharing scheme using overdetermined systems of linear equations over finite Galois fields
Dreier et al. Brandt’s fully private auction protocol revisited
Atallah et al. Efficient correlated action selection
Al-Saidi et al. A new idea in zero knowledge protocols based on iterated function systems
Deligiannidis Implementing elliptic curve cryptography

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071030

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071030

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20080624